Undersök och vidta åtgärder mot misstänkta sessionscookies

Som Google Workspace-administratör kan du använda e-postaviseringar för att meddela dig om användare är utloggade på grund av misstänkta sessionscookies. Kapning av cookies, eller sessionskapning, innebär att en användares sessions-ID stjäls med hjälp av cookies som genereras när de loggar in på sitt konto. När en misstänkt sessionscookie upptäcks avslutas sessionen och användaren loggas ut från sitt konto för den sessionen och alla relaterade misstänkta sessioner på den enheten.

När användaren försöker logga in igen på samma enhet ser de ett meddelande som uppmanar dem att ta bort skadlig eller osäker programvara. Användaren måste också utföra ett extra verifieringssteg när de loggar in på kontot igen på enheten.

Med hjälp av säkerhetsutredningsverktyget (SIT) eller gransknings- och utredningsverktyget kan du identifiera försök att kapa användarkonton via sessionscookies i din organisation.

Steg 1: Börja din undersökning

Alternativ 1: Undersök misstänkta sessionscookies i SIT

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Från menyn Datakälla väljer du Användarlogghändelser .
  3. Från menyn Lägg till villkor väljer du Händelse och ser till att villkoret är inställt på Är (standardalternativet).
  4. Från Händelse- menyn väljer du Användaren utloggad på grund av misstänkt sessionscookie .
  5. Klicka på Sök .
    Sökresultaten visas längst ner på sidan.

Alternativ 2: Undersök misstänkta sessionscookies på gransknings- och utredningssidan

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Händelser i användarloggen .

    Kräver administratörsbehörighet som granskning och utredning .

  2. Klicka på Lägg till ett filter och välj sedan Händelse .
  3. I popup-fönstret kontrollerar du att operatorn i den översta menyn är inställd på Är (standardalternativet), väljer Användaren utloggad på grund av misstänkt sessionscookie från den nedre menyn och klickar på Verkställ .
  4. Klicka på Sök .
    Loggarna visas längst ner på sidan.

Steg 2: Vidta åtgärder

I kolumnen Beskrivning klickar du på Misstänkt sessionscookie för att öppna panelen Logginformation . Varje logg visar en berörd användare. Arbeta med de berörda användarna och slutför stegen för att ta bort skadlig eller osäker programvara .

Säkra komprometterade konton

Om du misstänker att ett konto kan ha blivit komprometterat eller kapat kan du som administratör säkerställa att dina användares konton är säkra. Samarbeta med berörda användare för att identifiera och säkra komprometterade konton .